Interaktywnie.com - coedzienne Žródło inspiracji dla emarketera

Dziurawe Google Gadgets

• poprzedni post
• następny post

Google Gadgets to zestaw łatwych do wykorzystania narzędzi (widgetów), które pozwalają użytkownikom na publikowanie różnego rodzaju informacji oraz niewielkich aplikacji w praktycznie dowolnym miejscu Sieci. Jednak zdaniem ekspertów pakiet można łatwo wykorzystać jako platformę hakerską.

Taką przynajmniej opinię wyraził podczas konferencji Black Hat Tom Stracener z firmy Cenzic. Według niego poszczególne gadżety mogą być wykorzystywane do atakowania i przejmowania innych gadżetów, a także całych systemów operacyjnych. Najmniej groźne scenariusze przewidują utratę poufnych danych osobowych, najbardziej poważne zaś pokazują, jak wstrzyknąć dowolny złośliwy kod w aplikację.

„Jedną z cech, które charakteryzują Web 2.0, jest wysoki poziom interaktywności pomiędzy użytkownikami. Aplikacje wymieniają między sobą informacje. To jest pole do popisu dla hakerów. Szczególnie miniprogramy od Google'a nadają się do przeprowadzania ataków. Łatwo stworzyć gadżet, który będzie specjalnie zaprojektowany w celu oszukania internauty” – powiedział Stracener.

Użytkownicy ufają bowiem programom bazującym na platformie Google'a. Nietrudno ich przekonać do kliknięcia jakiegoś linku, na przykład prowadzącego do strony zawierającej złośliwy kod. Gadżety mogą być wykorzystywane także w atakach typu CSRF (Cross Site Request Forgery). Tutaj internauta wypełnia formularz z danymi osobowymi, a po drodze, nie zdając sobie z tego sprawy, jest przekierowywany na stronę, której sam nie otwierał.

Dodatkowym zagrożeniem związanym z Google Gadgets jest możliwość uruchamiania dowolnych skryptów PHP. Dzięki temu aplikacje mogą zawierać mechanizmy „podpinające się” pod przeglądarki WWW i wykorzystujące ich luki.

Firma z Mountain View stwierdziła, że zdaje sobie sprawę z tego oraz innych zagrożeń. Niektóre furtki już zostały zamknięte. Prace nad kolejnymi łatami trwają.

Źródło: Webhosting, InternetNews.com